基于数据安全智能化分析研究

陈智扬

【摘要】    随着数据业务的不断拓展，电信运营商掌握了海量的极具商业价值的敏感数据信息。敏感数据所带来的安全隐患使得信息安全的重要性日益凸显，保障电信信息系统安全至关重要。本文在结合广东移动安全现状的基础上，利用人工智能技术，通过贴近业务现状的智能安全审计场景模型，使安全审计更精准，更有效，满足业务综合审计及安全合规管理的需要。为数据隐私保护提供有效地技术方法借鉴。

【关键词】    敏感数据    智能分析    安全场景

引言：

随着电信运营商网络规模的扩大和数据业务的增加，大数据、云计算等相关领域的发展为电信行业带来新机遇的同时，也带来了潜在的数据安全隐患。面对海量的各类日志和数据信息，安全审计体系建设已然成为中国移动安全体系建设中的必要一环。在安全审计系统中运用自动化、大数据、人工智能等技术，不仅可以提升审计效率，而且能在安全事件发生之前通过异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。

本文结合广东移动的实际情况，基于业务经验和生产系统中的业务实时日志，区分不同业务场景后，通过样本数据的机器学习模式，对用户信息、设备信息、用户行为、业务数据等关键信息进行自动学习，通过在平台固化场景，完成不同维度的行为分析和展现，实现敏感数据的智能化安全分析。减少敏感数据丢失的事件发生，提升业务系统安全管理能力。

一、数据安全综述

1.1安全现状

中国移动业务支撑系统数据库积累和掌握了大量的客户信息、生产数据和运营信息，目前业务支撑数据库中的敏感数据主要包括客户、服务、资源、服务使用、帐务、客服等。针对敏感数据的使用，常见的安全隐患主要有：

数据集中、共享与多样化加大了泄漏风险;

数据采集源和采集方式呈现碎片化、多样化、分布化的特点，安全分析受限于采集分析系统的条块化，并且内部分析难以有效关联，严重降低系统审计分析的效能;

无法了解用户IT系统中各客户端的合理使用状况，无法及时对非法访问和越权访问进行告警与预防。

1.2安全目标

本次研究对敏感数据的业务特征进行综合分析与总结，建立和完善安全数据平台的智能分析的各类分析场景、模型和配套的智能分析方法，逐步实现安全大数据的智能数据深度挖掘分析。更加严谨地实现敏感数据的精确审计，从而提高敏感数据安全审计的准确性，降低敏感数据泄露的风险。

二、数据安全智能化建设

2.1建设思路

本次研究通过与支撑系统业务特征的结合，对业务支撑系统的敏感数据访问进行实时智能化安全审计，使敏感数据的使用更加严谨，降低了敏感数据泄露的风险。通过规则引擎、聚类分析、正态分布等学习模型，提炼风险行为，并在平台固化场景，完成不同维度的行为分析和展现，再辅以人工验证的方式，及时发现问题并加以控制。

2.2建设过程

2.2.1数据采集

基于现网可用数据包括登录、访问、订购等信息进行采集、清洗和标准化;并进行数据的基本信息统计如：访问频次、时长等;针对平台中敏感信息的原始操作日志以及金库操作日志，帮助管理员了解企业内敏感数据的使用情况，通过对重要数据、恶意访问行为数据的采集分析，发现潜在的泄露风险，判定危险源行为特征类型，实现日志的自动化审计。

2.2.2用户行为画像

基于采集的标签化、标准化、预统计的数据进行业务画像，如用户画像、渠道画像、营业员画像等。用户工作情况特征抽取用户的行为自动建模而成，在用户工作热度、用户工作效率、用户工作类型等方面对用户进行标签化。用户工作热度主要反映用户在单位时间内产生的工单数目及进行的操作数量;用户工作效率主要反映用户在接受工单后，多久时间能够完成工单;用户工作类型主要通过分析用户接受工单的类型，提取用户主要擅长哪个领域的工单。系统支持关键词，布尔逻辑表达式以及精确搜索的轻量级搜索功能，对于不符合用户画像模型的操作行为，触发相应的告警和审计流程。

1.前台人员

通过将4A系统和BOSS/CRM操作日志数据采集到大数据平台中，通过数据同步、数据解析和标准化，按照如下步骤进行前台人员客户画像，分析异常行为。

1）分析全省各类前台人员业务操作情况，刻画出人员操作行为画像;

2）根据生产实际情况，建立分析模型，通过一段时间的数据学习，形成操作基线数据;

3）根据各类型人员操作行为画像与单个人员的操作日志进行自动分析，发现前台人员业务操作的异常情况。

2.后台人员

4A审计系统采集的后台人员操作日志，包括数据库和主机操作日志，按照如下步骤进行前台人员客户画像，分析异常行为。

1）按人员基本信息，人员操作类型，操作地址（网段），资源 类型，操作对象等属性对人员进行标签化处理;

2）对标签化后的人员信息进行聚类分析，得出人员实际的归属类别和群体特征;

3）对聚类后群体的操作特征进行分析，观察群体内的人员是否有偏离本群体的异常操作行为。

2.2.3异常样本获取

通過复合多种机器学习算法（如聚类算法、局部异常因子算法等）组合建模，将每个行为具象为一个点p，通过比较每个点p和其邻域点的密度来判断该点是否为异常点。

2.2.4分类算法校验

通过正态分布算法进行建模，识别每个用户的常用IP、工作时间、操作习惯，形成安全行为基线，并基于行为基线模型，筛选访问记录不是常用IP、非工作时间、不符合操作习惯的异常操作行为。

1.识别要素。包括常用来源IP、常用工作时间以及常用操作类型。

2.识别过程。抽取近3个月crm日志，按照操作人员分组，每个操作人员的来源IP情况进行统计，求得样本的均数μ和方差σ，由样本均数μ与方差σ决定正态分布的坡度，从而确定正常与异常的边界。

3.实现效果。发现用户的异常操作行为：如发现某用户出现不符合常用地点、常用操作内容等操作习惯的操作行为。

对于偏离个人行为基线的人员，重点进行审计。

2.2.5预测与告警

通过多算法预测技术。得到最优的预测结果。管理员可以在管理敏感访问控制策略中配置敏感数据处理响应模版，包括策略的生效时间、告警对象、告警方式以及脱敏方式，当用户访问敏感数据时，根据规则的配置进行告警或不告警的处理。

2.3数据智能分析步骤

敏感数据安全智能化分析主要对业务场景中的各元素进行配置，除了需要包含场景名称、场景应用、系统唯一编码外，还需要包括业务特征，例如：操作人员角色、操作时间、操作IP等。敏感数据智能分析主要实施步骤如下：

第一步，样本准备：通过既有业务数据，通过业务人员人工标注，作为基础样本数据来源。

第二步，样本训练：安全管理员对敏感数据的发生的场景、规则进行配置;运用机器学习算法，对样本数据进行训练，得到准确度较高的模型，应用于审计场景中。

第三步，模型预测：运用机器学习模型，识别每个用户的常用IP、工作时间、操作习惯，形成安全行为基线，并基于行为基线模型，筛选访问记录不是常用IP、非工作时间、不符合操作习惯的异常操作行为，对业务日志数据进行预测。

第四步，结果输出：结合图形化、多元化以及列表展现形式对结果进行展现。

第五步，业务价值提升：在预测结果上进行深度分析，并产生日志审计报告，对于超过正常访问特征权值的操作进行报警。

三、结束语

本文提出了一种基于数据安全智能化分析方法。该方法结合了敏感数据操作场景、用户画像、异常样本获取、分类算法校验、预测与告警等元素，对敏感数据的访问进行智能分析与安全审计。有效的控制了人员的违规访问操作，使敏感数据的监控更加严谨、准确，减少了用户的问题投诉，满足中国移动在数据安全管理方面的需求，提升数据安全的抗风险能力，并进一步推动业务支撑系统的持续、健康发展。

参  考  文  献

[1]杜玺伦.大数据时代下计算机信息处理技术研究[J].计算机产品与流通，2019（07）：142.

[2]陈张荣.“大数据”时代的计算机信息处理技术研究[J].黑龍江生态工程职业学院学报，2016，29（03）：23-25.

[3]王雅珉.“大数据”时代的计算机信息处理技术[J].电子技术与软件工程，2017（10）：156.